VMware 原生安全解决方案

信息安全转型

信息技术已经彻底改变了世界，深入到了工作、生活的方方面面；与此同时，信息安全问题也越来越严重，成为我们在信息建设过程需要重视的一个关键领域。目前的安全技术是否能够胜任信息安全保护的重任呢？我们看到的信息安全的现状是这样的：

• 安全措施以外挂居多：由于信息安全的复杂性，需要从很多个维度来保护信息安全，所以需要采用多种安全方案和技术，企业所采用的安全产品和方案平均多达80多种，过多的安全产品和技术带来了管理上的复杂性。不同的安全产品都需要在受保护的节点上部署自己的代理 (Agent)，引起过多的资源消耗，从而给性能带来负面影响；更糟糕的是不同的代理软件相互之间可能发生冲突，导致某些安保功能失效。
• 安全方案各自为战，缺乏一个整合：基础架构、桌面、服务、网络、云端的安全方案往往是由各个业务组分别选型、采购的，所以对于安全威胁缺乏一个整体的管理和控制视图。同样的原因，不同的安全组也不会积极主动地开展合作，大家都会认为网络和端点设备的安全保护是完全不一样的。
• 关注于已知的安全威胁，被动响应安全攻击：受制于安全技术，以往的安全方案只能够防范已知的威胁，当有新的攻击手段诞生时，就不能有效防范了，只能事后被动响应，在特征库里加上新的攻击模式。造成这种象的根本原因是对于被保护对象缺乏认知，不了解应用、网络、端点设备、基础架构、数据的正常工作模式和行为。

针对信息安全中的这些问题，VMware 提出的观点是打造原生安全性 (Intrinsic Security)，原生安全性的特点是：

• 内建而非外挂：尽量在现有的基础架构上内建安全机制和解决安案，这样可以大大减少额外的工具和资源开销，降低整体复杂度和增强故障排除能力。内建的安全性也能够使安全策略更易于全局性实施，同一条安全规则可以跨私有云、公有云、边缘环境和端点设备生效。
• 整合而非孤立：各个业务部门 (安全、开发、运维) 应该协同作战、共享信息和工作流程，共同面对和解决安全挑战；同样的，安全技术方案和工具之间也应该数据共享，并以统一的工作流一起工作，以彻底消除威胁或漏洞。
• 变被动为主动：有必要深入了解被保护对象的工作环境，掌握被保护对象的正常行为模式，当恶意攻击发生时就可以及时发现这些异常的行为，从而触发相应的应对措施 (隔离、挂起、告警等等)。这样变被动为主动，面对未知的威胁也能够起到保护作用。

信息安全控制点模型

信息安全是一个系统工程，信息处理的任何一个环节都不能掉以轻心，单纯做好某一方面的安全防控是不够的，任何一个环节的漏洞都可能造成整个系统的安全沦陷。针对信息安全所涉及的各个领域，VMware 构建了信息安全控制点模型，把信息处理的整个流程分划分为5个安全控制点，通过对于这5个控制点的安全防控来提高整个系统的安全性。

• 工作负载 (Workload)：运行在数据中心的应用后台服务和数据；
• 端点设备 (Endpoint)：把应用功能交付给使用者的终端设备，包括 PC、手机、平板等；
• 身份认证 (Identity)：任何一个用户在访问系统时都要明确和验证自己的身份；
• 网络 (Network)：把数据中心、云端、端点设备连接起来；
• 云端 (Cloud)：云计算把数据中心和应用都搬到了云端，云服务提供商和企业需要分担安全的责任。

VMware 原生安全解决方案

VMware 传统的安全解决方案包括端点设备和身份安全平台 Workspace ONE，网络虚拟化和安全斛决方案 NSX Data Center，vSphere hypervisor 内建的主动安全防御工具 AppDefense，2019年 VMware 又收购了云安全技术厂商 Carbon Black，从而形成了完整的安全防护体系。VMware 的安全解决方案分为端点安全、工作空间安全、工作负载安全、网络安全和云安全5部分。

端点安全 (Endpoint Security)

传统的端点安全包括端点检测和响应 EDR (Endpoint Detect & Response)、审计和修复、安全漏洞管理、工作负载可见性、设备控制、应用加密、应用控制、新一代防病毒 NGAV (Next Generation Anti Virus) 等等，这些功能往往是由多种工具所提供的，VMware Carbon Black 把所有这些功能都整合到一个平台上，为端点设备提供全面的安全保护，同时也大大降低了软件平台管理和维护的复杂度。

Carbon Black 是一个云原生的安全解决方案，拥有云端的安全分析和预警服务 PSC (Predictive Security Cloud)，以云服务的形式来提供安全解决方案，这是 Carbon Black 区别于传统安全解决方案的一个特征。Carbon Black 利用机器学习和大数据分析不断优化对于恶意软件和恶意攻击的识别，对于未知的攻击手段也有很强的防范能力。它为端点安全提供了以下保护措施：

• 新一代防病毒技术 (NGAV – Next Generation Anti Virus) 和端点检测响应 (EDR – Endpoint Detection & Response)
  Carbon Black 的 NGAV 和 EDR 解决方案解决了安全有效性、可见性和运营效率方面的挑战，可以实时停止已知和未知攻击。
• 保证虚拟化数据中心安全性 – Carbon Black 软件能够在软件定义的基础架构中工作，利用云端的 PSC 服务来减轻数据中心现场的安全检测和监控负担，保护虚拟化环境免受恶意软件的攻击。
• 威胁搜索和事件响应 (IR – Incident Response) – PSC 上的威胁搜索和事件响应解决方案为安全运营中心 SOC (Security Operations Center) 和事件响应团队提供未经过滤的监控数据，并且将端点数据和威胁情报整合在一起，以可视化的方式来展示攻击行为。
• 实时端点查询和修正 – 实时查询和响应使团队能够实时了解受保护端点设备的安全姿态。
• 托管警报会审 — 安全专家通过 PSC 来提供专业的威胁验证和趋势分析。

工作空间安全 (Workspace Security)

工作空间是提供给员工完成工作或业务的数字化工作环境，包括终端设备和设备上安装的软件。VMware 工作空间安全解决方案是由 Workspace ONE 和 Carbon Black 来提供的，涵盖上述模型中的端点和身份认证这两个控制点。

Workspace ONE 平台为终端设备、设备上的应用和数据提供全方位的安全保护，主要的安全措施包括：

• 统一用户认证：与企业现有的身份系统相集成，遵循企业现有的用户管理规范，员工离职时及时终止所有应用的访问。
• 多因子认证 MFA (Multi Factor Authentication)：内建 MFA 工具 Verify，为用户身份认证提供多重保护。
• 应用沙箱：企业应用在安全沙箱中运行，防止恶意软件攻击。
• VPN 安全隧道：移动应用跟后台数据中心的通讯完全通过 VPN 安全隧道进行，杜绝网络信息泄露。
• 条件访问：根据设备姿态 (所处的物理位置、系统状态等) 动态决定是否满足安全规定，进而判断是否允许应用和数据的访问。
• 数据防丢失 DLP (Data Loss Protection)：企业数据在设备存储、网络传输和数据中心这几个环节都是经过加密的，一旦设备丢失，可以立即通过远程擦除操作防止企业数据丢失。
• 数据不落地：VMware Horizon 通过虚拟桌面和远程应用把应用和数据完全存放在数据中心，实现数据不落地。
• 文档管理：Workspace ONE 中的 Content 工具提供文档管理功能，仅有被授权的用户才能查看文档，通过特有的身份水印防止文档泄密。

工作负载安全 (Workload Security)

VMware vSphere 是一个安全的企业计算平台，它内建多种安全机制，结合新一代的主动式安全保护机制 AppDefense，全面保护工作负载安全。

• 应用保护 – VMware AppDefense 利用机器学习来了解哪些行为是虚机和应用正常的行为，凡是违反正常行为模式的动作就有可能是潜在的恶意攻击，AppDefense 会进行进一步分析和处理，把任何攻击行为拒之于门外。
• 数据保护 – vSphere 提供内建的数据加密功能，也会对 vMotion 时在网络上传输的虚机数据进行加密。
• 架构安全 – ESXi 服务器安全启动和虚机安全启动，支持物理 TPM 2.0 和为虚机提供虚拟 TPM 2.0，支持微软基于虚拟化的安全 VBS 机制、Intel SGX 安全机制，并且从根本上建立了完备的可信计算体系 Trust Authority。
• 审计日志 – 任何对于 vSphere 环境的管理操作都会被记录下来，以备日后审计。

网络安全 (Network Security)

物理的边界防火墙 (Perimeter Firewall)一般都是部署在数据中心的出口处，控制数据中心对外的网络通信。虽然能够很好地控制来自于外部的南北向流量，但是对于数据中心内部的东西向流量却没有任何的防范措施。信息安全要求采用零信任 (Zero Trust) 机制，假设安全威协无处不在，即使是在数据中心内部。NSX Data Center 的分布式防火墙使得东西向流量的控制成为可能，它能够对每一台虚机提供防火墙服务，并且根据业务需要来划分网络“微分段 (Micro Segmentation)”。我们可以利用微分段在数据中心内部对虚机进行隔离，把不同业务部门的虚拟服务器分隔在不同的微分段里，跨微分段的访问是绝对不可能发生的；在同一微分段内部，我们还可以根据业务需要在虚机之间设立防火墙，确保虚机之间只有进行必须的网络通信，从而最大限度地提高了虚拟服务器的安全性。

NSX 所实现的虚拟化网络是软件定义的，这一特点使得它突破了物理网络的局限，可以把安全防护功能延伸到虚机和容器。尤其是容器，它是动态创建的，提供完服务后就可能结束运行了，在现代应用架构中它又具有分布式的特点，这些特点决定了传统的网络安全手段无法对它进行有效保护。NSX 本身内建于 vSphere 平台，vSphere 平台上无论原生容器还是基于虚机的容器本质上都是基于虚机的，所以可以充分利用 NSX 对于虚机网络环境的保护机制来进行保护。另外，NSX 支持异构的虚拟化基础架构，支持 vSphere、KVM 和各种公有云环境，可以实现跨私有云和公有云一致性的网络安全策略，为企业应用提供无缝的安全保护。

除了上述基本网络安全功能，NSX 还在持续增强功能，用软件来实现传统的基于硬件的安全措施：

• NSX Data Center 在3.0中引入分布式的 IDS/IPS 功能，用软件来实现入侵检测和入侵保护功能，相较于硬件的实现成本更低、效率更高。
• NSX Advanced Load Balancer 支持各种安全协议的负载均衡，同时也提供 Web 应用防火墙 WAF (Web Application Firewall) 功能。

云安全 (Cloud Security)

随着企业的计算延伸到云中，安全措施也必须拓展到云端。NSX Cloud 可以把数据中心内的安全策略无缝拓展到公有云，并且保证公有云和私有云多个计算环境中安全策略的一致性。Secure State 可以对云端应用的安全合规性进行审计，并推荐修正方案。

总结一下，VMware 原生安全解决方案的具有以下特点：

• 系统内建的原生安全机制
  VMware 的虚拟化基础架构都是软件定义的，vSphere / vSAN / NSX Data Center 中都内建相关的安全解决方案，资源开销更小，对于安全威胁的响应更为迅速。VMware 是 IT 基础架构的提供者，它能够以内建的形式来提供各种安全机制，这是其他安全厂商无法具备的优势。
• 针对每一个对象的分布式安全机制
  这种分布式的安全机制能够实现对每一个虚机、每一个容器 Pod 的贴身保护，这是传统外挂的安全机制无法实现的；即便实现的话，也要使数据流量绕道一个外挂的安全检查模块，形成发卡流量，不可避免地引起额外的网络流量并造成性能下降。
• 完备的数据分析和整合能力
  这种基础架构内建的分布式安全机制能够高效地分析每一个数据包，在一个平台上实现综合性的分析和统计功能，为进一步的安全策略规划提供建议和支撑数据。

延伸阅读

Intel 不断推动安全方面的技术创新，建立平台级安全基础。通过 hypervisor、VM、OS 和应用程序的堆栈来保护平台启动安全，实现对数据生命周期中任意阶段的安全保护，使得业务安全性和生产力同步提升。

Intel 的每一代至强® CPU，都包含先进的数据中心/云安全技术，并提供相应的软件、库和服务，使合作伙伴和客户更容易使用这些技术来保护工作负载，并抵御网络安全威胁：

• Intel® Trusted Execution Technology (Intel®TXT) – 针对平台和工作负载的可信启动和认证
• Intel® Software Guard Extensions (Intel®SGX 和 Intel® SGX卡) – 密钥保护，安全云，应用程序区域
• Intel® Quick Assist Technology (Intel® QAT) – 加密及压缩功能的加速
• Intel® Resource Director Technology (Intel®RDT) – 最后一级缓存和内存带宽使用的管理和控制
• Intel® Threat Detection (Intel® TDT) – 基于底层 CPU 监控技术的硬件增强恶意软件检测
• Intel Security Libraries (Intel® SecL-DC) – 英特尔安全技术的软件库